近年、ウイルスを使わずに人間の心理や業務の隙を突く「ビジネスメール詐欺(BEC:Business Email Compromise)」が猛威を振るっています。本記事では、桁違いの被害をもたらすBECの巧妙な手口と、自社の資金を守り抜くための具体的な防御策をわかりやすく解説します。
ウイルス検知をすり抜ける「ビジネスメール詐欺(BEC)」の恐怖
IPA「情報セキュリティ10大脅威 2026」が示す根深い脅威
ビジネスメール詐欺は、決して過去の一過性の脅威ではありません。IPA(情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」において、9年連続でトップ10入りを果たしており、長年にわたり脅かし続けている根深いサイバー犯罪です。
順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い(2016年以降) |
|---|---|---|---|
1 | ランサム攻撃による被害 | 2016年 | 11年連続11回目 |
2 | サプライチェーンや委託先を狙った攻撃 | 2019年 | 8年連続8回目 |
3 | AIの利用をめぐるサイバーリスク | 2026年 | 初選出 |
4 | システムの脆弱性を突いた攻撃 | 2016年 | 6年連続9回目 |
5 | 機密情報等を狙った標的型攻撃 | 2016年 | 11年連続11回目 |
6 | 地政学的リスクに起因するサイバー攻撃(情報戦を含む) | 2025年 | 2年連続2回目 |
7 | 内部不正による情報漏えい等 | 2016年 | 11年連続11回目 |
8 | リモートワーク等の環境や仕組みを狙った攻撃 | 2021年 | 6年連続6回目 |
9 | DDoS攻撃(分散型サービス妨害攻撃) | 2016年 | 2年連続7回目 |
10 | ビジネスメール詐欺 | 2018年 | 9年連続9回目 |
出典:IPA「情報セキュリティ10大脅威 2026 [組織]」を基に作成
https://www.ipa.go.jp/security/10threats/10threats2026.html
マルウェアも不正リンクもない?「人間の心理と信頼」を突く狡猾な手口
BECの最大の恐怖は、メール本文が「普通のテキストだけ」で構成されており、「悪意のあるウイルス(マルウェア)や危険なリンク」が一切含まれていないことです。そのため、従来のアンチウイルスソフトやスパムフィルターを簡単にすり抜けて、担当者の受信トレイに直接届きます。
1件あたりの被害額が桁違い:数千万から数億円を騙し取られる深刻な実態
システムを破壊するのではなく、「現金を直接振り込ませる」ため、1件あたりの被害額が極めて大きいのがBECの特徴です。日本企業でも実際に以下のような巨額被害が公表されています。
- 国内航空会社の事例: 取引先になりすました精巧な偽メールを信じ込み、航空機リース料など約3億8,000万円を騙し取られる。
- 大手自動車部品メーカー欧州子会社の事例: 悪意ある第三者からの虚偽の入金指示に従って送金してしまい、最大約40億円の資金流出被害が発生。
AIによる“自然すぎる日本語メール”や“音声なりすまし(Voice BEC)”が増加
生成AIの普及により、ネイティブと遜色のない自然な日本語メールが作成されています。さらに、AIを用いたディープフェイク技術により、電話口で経営者や取引先の「声」そのものを偽造する「Voice BEC」という新たな手口も増加しており、BECはメール詐欺の枠を超え多チャネル詐欺へと進化しています。
BECの「5つの分類(タイプ)」
ビジネスメール詐欺は大きく以下の5つのタイプに分類されます。攻撃者はターゲットの立場や業務内容に合わせて、巧妙にシナリオを使い分けます。
タイプ | なりすます相手 | 目的・主な手口 |
|---|---|---|
タイプ1 | 取引先 | メールのやりとりに割り込み、振込先の口座を変更させる |
タイプ2 | 経営層・役員 | 「極秘案件」などを口実に、経理へ至急の送金を指示する |
タイプ3 | 自社の従業員 | 乗っ取った本物の社内アカウントから、偽の送金指示を送る |
タイプ4 | 権威ある第三者 | 弁護士や公的機関を装い、法的対応や手数料を名目に要求する |
タイプ5 | 人事部・IT部門 | 後の攻撃に使うため、従業員の連絡先や組織図を盗み出す |
タイプ1:取引先との請求書の偽装
実際の取引先とのメールのやりとりに割り込み、「監査が入った」「口座が凍結された」などのもっともらしい理由をつけて、偽の口座へ代金を振り込ませます。過去のメール文面がそのまま引用されるため、非常に見抜きにくいのが特徴です。
タイプ2:経営者等へのなりすまし
自社のCEOや役員を騙り、経理担当者に対して「極秘の企業買収案件だ。至急指定の口座に送金してほしい」と直接メールを送ります。上層部からの絶対的な指示であるという「心理的プレッシャー」を悪用し、社内の確認フローをスキップさせようとします。
タイプ3:窃取メールアカウントの悪用
Emotetなどのマルウェアやフィッシングによって乗っ取った「本物の従業員のメールアカウント」を利用し、内部から堂々と偽の請求書や送金指示を送ります。送信元が本物の社内アドレスであるため、セキュリティ製品の検知をすり抜けてしまいます。
関連記事:【Emotet(エモテット)とは】過去の脅威ではない?最悪の「運び屋」マルウェアの手口と最新対策
タイプ4:社外の権威ある第三者へのなりすまし
実在する弁護士事務所や公的機関、コンサルタントなどを装い、法的な対応や手数料、税金の支払いなどを名目に送金を要求します。「権威性」を悪用し、担当者を焦らせて冷静な判断を奪います。
タイプ5:詐欺準備のための情報搾取
このタイプは直接金銭を要求するのではなく、人事部やIT部門などを装い、後の詐欺攻撃のターゲットとするための「従業員の連絡先」や「組織図」などの機密情報を盗み出します。ここで得た情報が、タイプ1〜4の攻撃制度を上げるために悪用されます。
なぜ騙される?巧妙な「なりすまし・偽装手口」
アドレス・ドメインの偽装
攻撃者は、本物そっくりの偽ドメインを取得してメールを送ってきます。多忙な日常業務の中では、人間の目で絶対に見抜けないレベルの「視覚的な錯覚」を悪用するのが特徴です。
- 文字のすり替え: 正規の[@example.com]を[@exampIe.com]にする(小文字の「l(エル)」を大文字の「I(アイ)」へ変更)
- 文字の追加: 正規の[@example.com]を[@examplle.com]にする
- 類似文字の悪用: 「m」を「rn」にする、「O(オー)」を「0(ゼロ)」にする
やりとりの盗聴と割り込み
事前にマルウェア等でメールを盗聴し、本物の取引先とのやり取り(請求額、過去の件名、署名など)を完全に把握した上で、絶妙なタイミングで「実は急遽、振込先が変更になりまして…」と会話に割り込んできます。
同報先(Cc等)のすり替え
偽メールに返信させる際、「Reply-To(返信先)」を攻撃者のアドレスに設定したり、Ccに入っている正規の関係者のアドレスを「1文字違いの偽アドレス」にこっそりすり替えたりします。これにより、正規の担当者がやり取りから排除され、気づかない状態で詐欺が進行します。
【実践】「偽の請求・指示かも?」と疑った時の初動対応
「振込先がいつもと違う」「社長からの指示が急すぎる」と少しでも違和感を覚えた場合は、以下の手順で迅速に対応してください。
ステップ | 目的 | 具体策 |
|---|---|---|
Step1 | 資金流出の阻止・回収 | 送金前は「即時保留」。送金後は直ちに銀行へ「組戻し」を依頼 |
Step2 | 情報漏えい元の特定 | 自社と取引先のどちらのメール環境が侵害されているか状況確認 |
Step3 | 自社環境の安全確保 | アカウント乗っ取り調査とパスワード即時変更 |
Step4 | 外部機関への通報 | 警察やIPAなどの関係機関へ速やかに相談 |
Step5 | 二次被害・連鎖の防止 | 取引先に対し、事実確認と注意喚起 |
Step1:送金前なら「即時保留」、送金後なら「銀行への組戻し」の即時依頼
お金が攻撃者の手に渡るのを防ぐことが最優先です。送金処理前なら手続きを直ちにストップし、すでに振り込んでしまった場合は、利用している金融機関へ連絡し「組戻し(資金凍結)」の手続きを依頼してください。
Step2:自社と取引先、どちらのメールが漏えいしているかの状況確認
過去のメールが引用されている場合、自社か取引先のどちらかのメールシステムがすでにハッキングされています。情シス部門と連携し、被害の発生源を迅速に切り分けます。
Step3:自社アカウントの乗っ取り調査およびパスワードの即時変更
自社のアカウントが乗っ取られている可能性がある場合、攻撃者によって「特定のメールを外部へ自動転送する」などの隠し設定がされていないか確認し、直ちにパスワードを変更します。
Step4:警察および関係機関への速やかな通報・相談
被害が発生した(または未遂に終わった)場合でも、最寄りの警察署のサイバー犯罪対策窓口や、金融庁、IPAなどへ速やかに事案を報告・相談してください。
Step5:取引先へ注意喚起を行い、連鎖被害を防止
自社のアカウントが乗っ取られていた場合、他の取引先へも偽の請求書がばらまかれている危険性があります。電話等で速やかに事情を説明し、送金を止めるよう注意喚起を行います。
BECの被害を未然に防ぐ「組織のルールと基本対策」
BECに対抗するためには、高度なシステムツールだけでなく、アナログな「人間の確認フロー」を組織のルールとして定着させることが最も効果的です。
対策 | 目的 | 具体策 |
|---|---|---|
対策①:別ルートでの事実確認 | 詐欺シナリオの遮断 | 「振込先変更」時は必ず電話などほかの連絡手段で取引先に確認する |
対策②:アドレスの目視確認 | 1文字違いの偽装を見抜く | 送信元アドレスや返信先(Reply-To)を入念に確認する習慣の徹底 |
対策③:強固なパスワード管理 | アカウント侵入の防止 | 複雑なパスワードの設定と、他サービスとの使い回しを禁止する |
対策④:基本セキュリティの徹底 | 情報盗聴の入り口を塞ぐ | OS/ソフトの最新化、ウイルス対策ソフトの導入など基本の徹底 |
対策⑤:DMARC等の導入 | なりすましメールの自動排除 | DMARC、SPF、DKIMといった送信ドメイン認証技術の実装 |
対策⑥:MFA(多要素認証) | 乗っ取りの極小化 | ログイン時のMFA必須化 |
対策⑦:経理ワークフローの整備 | 独断による送金ミスの防止 | 「大口送金は必ず複数人で承認する」などの社内ルールの厳格化 |
対策①:「振込先の変更」時は必ず電話など(メール以外の手段)で事実確認
メールで口座変更の依頼が来た場合は、そのメールにそのまま返信するのではなく、名刺や公式サイトに載っている「正規の電話番号」に直接電話をかけ、事実確認を行うルールを徹底してください。
対策②:送信元のメールアドレスを「1文字レベル」で入念に確認する習慣の徹底
表示されている「送信者名」だけでなく、実際の「メールアドレス」や返信時の「Reply-To(宛先)」が、正規のドメインと1文字も違わず完全に一致しているかを、指差し確認するレベルでチェックする習慣をつけます。
対策③:メールアカウントへの複雑なパスワード設定と、他サービスとの使い回し禁止
メールの盗聴を防ぐため、容易に推測されない長く複雑なパスワードを設定し、他のクラウドサービス等とのパスワードの使い回しを禁止します。
対策④:ウイルスの侵入や不正アクセスを防ぐ「基本的なセキュリティ対策」の実施
BECの準備段階として、Emotetなどのマルウェアを利用して情報収集が行われるケースが多々あります。OSのアップデートや不審な添付ファイルを開かないといった、基本的なマルウェア対策を怠らないことが重要です。
対策⑤:DMARC/SPF/DKIM の導入で“なりすましメール”を大幅に防止
自社のドメインを騙って送られる偽メールを防ぐため、送信ドメイン認証技術である「SPF」「DKIM」、そしてこれらを基盤とした「DMARC(ディーマーク)」の導入を進めます。これにより、なりすましメールが取引先や従業員に届く前にシステム側でブロック・隔離できます。
対策⑥:MFA(多要素認証)はBEC防止に最も効果がある施策の1つ
万が一パスワードが流出しても、スマートフォン等による追加認証がなければログインできない「MFA(多要素認証)」を全社で必須化します。これは、メールアカウントの乗っ取りを未然に防ぐ上で極めて強力な効果を発揮します。
対策⑦:“大口送金は複数承認”など経理部門のワークフロー整備
担当者が一人で送金してしまう状況を防ぐため、一定額以上の送金には必ず「上長を含む複数人の承認」を必須とする、強固なワークフローをシステム上・ルール上で整備します。
まとめ:「いつもの取引先」を疑う勇気。複数ルートでの確認フローが巨額被害を防ぐ
ビジネスメール詐欺は、企業間の「信頼関係」を脅かす悪質な犯罪です。巧妙に偽装されたメールを、多忙な業務の中で人間の目だけで100%見抜くことは困難です。
だからこそ、MFAやDMARCといった「システムによる防御」を前提とし、金銭が動く場面では「メール以外の手段で確認する」「複数人で承認する」という、強固な業務フローを組み込むことが不可欠です。「いつもの取引先」「社長からの指示」であっても、少しでも違和感があれば立ち止まって確認する。その勇気が数億円の損失から会社を救う最大の防御壁となります。
【ホワイトペーパー】
人材不足・複雑化する脅威にどう立ち向かう?
MDRアウトソーシングで乗り越えるセキュリティ運用の壁
ダウンロード
